我的具体错误是:“无法联系域 corp.franzkromer.com 的活动目录控制器”。
我正在尝试添加辅助域控制器。我的主 DC 也是我的主 DNS。辅助 DC 也在运行 DNS 以备份主 DNS(进行了区域传输,似乎运行良好)。我在两个安装中都使用 Windows Server 2012 R2。我的接口上的 DNS 地址设置为主域控制器,没有备份 DNS。为新的辅助 DC 添加了 A 条目。
然而,在部署配置中,辅助 DC 仍然不起作用。我正在尝试“将域控制器添加到现有域”。用户凭据是正确的,我已尝试使用旧的 win2k 样式域名(在我的情况下为 CORP)和现代约定(在我的情况下为 corp.franzkromer.com)。
不过,辅助 DC 能够以通常的方式加入域。我甚至可以以域用户身份登录。我可以从辅助 DC ping 主 DC 的 FQDN 或 Netbios 名称,没有任何问题。我也可以毫无问题地从主 DC ping 辅助 DC。
我已在两台服务器上禁用 Windows 防火墙,只是因为我想测试这是否是问题所在,也许是阻止了某些端口或什么的。
需要注意的是,主 DC 是在另一个未加入域的 Server 2012 安装上运行的 Hyper-V VM。辅助 DC 是作为客户机在 Fedora 24 Workstation(同样未加入域)上运行的 VMWare VM。我将 VMNet1 和 VMNet8 接口都设置为 Fedora 中 DMZ 区域的一部分。
我还尝试过不将辅助 DC 加入域,而只是将其作为 WORKGROUP 的一部分,但遇到了同样的错误。有趣的是,如果我没有加入域,并且使用了 Netbios 名称,我会收到一个额外的错误“副本验证失败”以及相同的“无法联系域 CORP 的活动目录控制器”。
答案1
搞定了。我主 DC 上的 DNS 配置不正确。我必须在区域上启用 Active Directory 集成,然后重新启动 Netlogon 才能创建 SRV 记录。我在主 DC 上运行 dcdiag 发现了这个问题。